Le règlement européen sur l’intelligence artificielle (IA Act) établit une approche fondée sur les risques. Si la majorité des usages de l’IA sont autorisés, certains sont classés comme présentant un « risque inacceptable ». Cet article synthétise le cadre général du texte et les interdictions qu’il impose.
Cadre général et entrée en application
Désigné officiellement sous le nom de Règlement (UE) 2024/1689 du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle, ce texte est communément appelé « IA Act » ou « Loi sur l’IA ».
L’objectif de cette législation est de garantir que les systèmes d’IA mis sur le marché européen soient sûrs et respectueux des droits fondamentaux.
Bien que le règlement soit entré en vigueur en août 2024, son application est progressive. Toutefois, les dispositions concernant les pratiques interdites (listées ci-dessous) sont déjà applicables : elles sont devenues applicables le 2 février 2025. À partir de cette date, les systèmes suivants ne peuvent plus être ni mis sur le marché, ni mis en service, ni utilisés au sein de l’UE.
Les systèmes d’IA interdits (Risque inacceptable)
L’article 5 du règlement dresse la liste des pratiques en matière d’IA qui sont interdites en raison des risques qu’elles représentent pour les droits fondamentaux.
Datanaos vous propose une synthèse des huit catégories de systèmes interdits :
A. Manipulation comportementale par techniques subliminales
- Le système interdit : Les systèmes d’IA qui utilisent des techniques subliminales (non perceptibles par la conscience humaine) ou des techniques délibérément manipulatrices ou trompeuses pour altérer le comportement ou les décisions des individus.
- La raison : Cette pratique est interdite car elle pousse une personne à prendre une décision qu’elle n’aurait pas prise autrement, lui causant (ou causant à autrui) un préjudice physique ou psychologique significatif.
B. Manipulation comportemantale par les vulnérabilités
- Le système interdit : Les systèmes d’IA qui exploitent les vulnérabilités de personnes ou de groupes spécifiques en raison de leur âge, de leur handicap, ou de leur situation sociale ou économique pour altérer le comportement ou les décisions des individus.
- La raison : Il s’agit de protéger les personnes vulnérables contre des manipulations abusives qui leur causeraient, ou causeraient à autrui, un préjudice significatif.
C. Notation sociale (« Social Scoring »)
- Le système interdit : L’utilisation de systèmes d’IA pour évaluer ou classifier les personnes physiques sur une certaine période, en fonction de leur comportement social ou de caractéristiques personnelles.
- La raison : Cette pratique est interdite car elle peut entraîner un traitement défavorable dans des contextes sans lien avec les données collectées, ou lorsque le traitement est injustifié par rapport à la gravité du comportement.
D. Prévision des crimes (Police prédictive basée sur le profilage)
- Le système interdit : Les systèmes utilisés pour évaluer le risque qu’une personne commette une infraction pénale, si cette évaluation repose uniquement sur le profilage ou l’analyse des traits de personnalité.
- La raison : L’interdiction prévient la discrimination basée sur des caractéristiques personnelles plutôt que sur des faits objectifs.
Ce type d’IA est néanmoins autorisée si elle vise à évaluer l’implication d’une personne dans la commission d’une activité criminelle déjà survenue ou en cours, objectivement vérifiable.
E. Constitution de bases de données par reconnaissance faciale non ciblée
- Le système interdit : L’utilisation de systèmes d’IA qui créent ou étoffent des bases de données de reconnaissance faciale par la récupération non ciblée (scraping) d’images faciales provenant d’internet ou de la vidéosurveillance.
- La raison : Cette pratique porte atteinte à la vie privée.
F. Reconnaissance des émotions sur le lieu de travail et dans l’éducation
- Le système interdit : Les systèmes d’IA destinés à déduire les émotions d’une personne physique sur le lieu de travail ou dans les établissements d’enseignement.
- La raison : Ces systèmes sont considérés comme intrusifs dans ces contextes (sauf exceptions pour raisons médicales ou de sécurité).
G. Catégorisation biométrique des données sensibles
- Le système interdit : Les systèmes de catégorisation biométrique qui classent individuellement les personnes physiques sur la base de leurs données biométriques pour en déduire la race, les opinions politiques, l’appartenance syndicale, les convictions religieuses ou philosophiques, ou l’orientation sexuelle.
- La raison : Ces catégorisations présentent un risque de discrimination.
Cette interdiction ne concerne pas l’étiquetage licite (ex: filtrage policier) mais plutôt l’inférence commerciale ou administrative de données sensibles.
H. Identification biométrique à distance en temps réel dans l’espace public
- Le système interdit : L’utilisation de systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives.
- La raison : Cette technologie s’apparente à une surveillance de masse.
Exceptions : Le texte prévoit des exceptions limitées (recherche de victimes d’enlèvement, menace terroriste, localisation de suspects pour des crimes graves), nécessitant une autorisation judiciaire ou administrative préalable.
En résumé
Ces interdictions visent à tracer une ligne rouge claire : l’innovation ne doit pas se faire au détriment de la dignité humaine, de la liberté de choix ou de la vie privée. Ces systèmes sont bannis car ils présentent un risque inacceptable pour les droits fondamentaux des citoyens européens.
Il est important de noter que l’IA Act ne se limite pas aux interdictions. Une grande partie du règlement encadre les systèmes dits à « haut risque » (ex : recrutement, accès aux services essentiels, justice), qui sont autorisés mais soumis à des obligations de conformité très strictes.
Dès lors qu’un organisme envisage de développer ou d’implémenter un système d’IA, il est fortement recommandé de prendre attache en amont avec :
- Le service juridique ;
- Le Délégué à la protection des données (DPO).
Cette démarche permet de s’assurer, dès la conception du projet, que le système respecte non seulement les nouvelles exigences de l’IA Act, mais aussi celles du Règlement Général sur la Protection des Données (RGPD).
